ИСПРАВИТЬ: Пользователи в удаленных лесах не могут изменять свои пароли через ISA Server 2006 или Forefront угроз Management Gateway 2010

Проблема 1:

Рассмотрим следующий сценарий.

• У вас есть сервер, на котором выполняется Microsoft Internet Security and Acceleration (ISA) 2006 г.

• Настроить прослушиватель проверки подлинности на основе форм (FBA), выбрав Проверка подлинности форм HTML на вкладке Проверка подлинности .

• Прослушиватель настроен на позволяют пользователям изменять свои пароли.

• Использовать функциональные возможности, описанные в статье базы знаний Майкрософт 952675 для включения ISA 2006 для поиска пользователей в нескольких доменах. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

  952675 вам не удается войти на узел локальной интрасети, публикуются с помощью ISA Server 2006, если существует несколько учетных записей пользователей, которые имеют одинаковые имена учетных записей в разных доменах

• Учетная запись пользователя, который пытается войти в систему находится в удаленном доверенного леса домена.

В этом случае пользователи не могут войти если истек срок действия пароля или учетной записи присваивается пользователь должен сменить пароль при следующем входе в систему. 1907 (ERROR_PASSWORD_MUST_CHANGE) регистрируется в журнале веб-прокси.

Проблема 2:

Рассмотрим следующий сценарий.

• У вас есть сервер, на котором выполняется Microsoft Internet Security and Acceleration (ISA) 2006 г.

• Настроить прослушиватель проверки подлинности на основе форм (FBA), выбрав Проверка подлинности форм HTML на вкладке Проверка подлинности .

• Прослушиватель настроен на позволяют пользователям изменять пароли.

• У вас есть правила веб-публикации, использует этот прослушиватель для публикации веб-узла.

• Использовать функциональные возможности, описанные в статье базы знаний Майкрософт 952675 для включения ISA 2006 для поиска пользователей в нескольких доменах. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

  952675 вам не удается войти на узел локальной интрасети, публикуются с помощью ISA Server 2006, если существует несколько учетных записей пользователей, которые имеют одинаковые имена учетных записей в разных доменах

• ISA Server 2006, открывшего сервер глобального каталога неожиданно закрыто подключение, например, с помощью брандмауэра между двумя серверами.

• Входа в систему пользователь указал имя пользователя в под управлением NT4/SAM формат именования.

• Новый пароль, указанный пользователем требованиям сложности.

В этом случае пользователи из всех доменов не может изменять свои пароли. При попытке изменить пароль, они получают следующее сообщение об ошибке:

Если пользователь указывает имя пользователя, который использует формат имени участника-пользователя, пользователь может изменить пароль. Если перезапустить службу межсетевого экрана ISA Server 2006, пользователи также можно изменить пароль до подключения к серверу глобального каталога не работает.

Проблема 1:

Эта проблема возникает, когда пользователь не перенаправляется на страницу изменения пароля, так как ISA Server 2006 не проверяет состояние учетной записи для учетных записей в удаленных лесах. Таким образом он пытается использовать учетные данные, предоставленные пользователем для входа пользователя. Пароль больше не является допустимым. Таким образом попытка завершается неудачей, и возвращается ошибка 1907 (ERROR_PASSWORD_MUST_CHANGE).

Проблема 2:

Эта проблема возникает после повторного использования дескриптора для отправки сообщений на сервере глобального каталога. Если дескриптор не удается, это предотвращает ISA Server 2006 проверки статуса учетной записи пользователя.

Microsoft Internet Security and Acceleration (ISA) 2006 г.

Для решения этой проблемы установите накопительный пакет исправлений ISA Server 2006, описанное в следующей статье базы знаний Майкрософт:

2616326 Описание пакета исправлений для ISA Server 2006: сентябрь 2011 г.

Microsoft Forefront Threat Management Gateway 2010

Для решения этой проблемы установите пакет обновления, описанного в следующей статье базы знаний Майкрософт:

2555840 Microsoft Forefront угроз Management Gateway 2010 Пакет обновления 2

Включение данного исправления

Корпорация Майкрософт предлагает примеры программного кода только для иллюстрации и без явных или подразумеваемых гарантий. Это включает, но не ограничиваясь, подразумеваемые гарантии товарной пригодности или пригодности для определенной цели. В данной статье предполагается, что вы знакомы с демонстрируемым языком программирования и средствами, которые используются для создания и отладки. Сотрудники службы поддержки Майкрософт могут объяснить возможности конкретной процедуры. Тем не менее они не изменит примеров для обеспечения функциональных возможностей или создания процедур для определенных требований. Чтобы включить это исправление для ISA Server 2006 или Forefront угроз Management Gateway 2010, запустите сценарий EnableMultipleFlatUserName.vbs, чтобы обеспечить функциональные возможности, предоставляемые это исправление. Чтобы сделать это, выполните следующие действия.

1. Нажмите кнопку Пуск, щелкните элемент Выполнить, введите команду notepad и нажмите кнопку ОК.

2. Скопируйте следующий сценарий в файл «Блокнот» и сохраните текстовый файл в формате Microsoft Visual Basic с расширением .vbs.

   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "EnableMultipleFlatUserName"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue

3. Сохраните файл во временную папку. Например сохраните его как EnableMultipleFlatUserName.vbs в папку C:\EnableMultipleFlatUserName .

4. В командной строке перейдите в место сохранения файла с расширением .vbs на шаге 3 и запустите vbs-файл. Например следующие команды:

   компакт-диск C:\EnableMultipleFlatUserNamecscript EnableMultipleFlatUserName.vbs

Примечание. После активации этого исправления необходимо перезагрузить службы, связанные с ISA Server или служб, связанных с сервера Forefront Threat Management Gateway.